SIEM ログ記録: 概要とベストプラクティス

  • 重要なポイント
  • 何ですか SIEM ログ記録のベストプラクティスは何ですか?
    重要なシステムからログを収集し、形式を正規化し、一元的な可視性を確保します。
  • 組織がログの量よりも品質を優先する必要があるのはなぜですか?
    関連性の高い高忠実度のログにより、ノイズが削減され、脅威の検出精度が向上します。
  • ログの保持に関する重要な考慮事項は何ですか?
    コンプライアンス要件、ストレージ効率、およびフォレンジック要件。
  • ログエンリッチメントが重要なのはなぜですか?
    生データにコンテキストを追加することで、検出と調査の効率が向上します。
  • よくあるログ記録の間違いは何ですか?
    正規化なしでの過剰収集、重要なソースの無視、および弱い保持ポリシー。
  • Stellar Cyber​​はどのように最適化するのか SIEM ログですか?
    Interflow™ を使用して、メタデータでログを充実させ、集中管理されたデータ レイクに効率的に保存します。

セキュリティ情報とイベント管理 (SIEM)は、組織内の数千ものエンドポイント、サーバー、アプリケーションにまつわるセキュリティ情報を一元管理する、極めて重要なサイバーセキュリティツールです。エンドユーザーやデバイスがアプリケーションのあらゆるタッチポイントとやり取りする際に、ログという形でデジタル指紋が残ります。これらのファイルは、バグ修正や品質管理において従来から大きな役割を果たしてきました。なぜなら、これらのファイルはソースから直接エラー情報を提供するからです。

しかし2005年、セキュリティ専門家たちはこれらの小さなファイルに秘められた真の潜在能力に気づき始めた。それらは大量のリアルタイムデータを提供し、それらを SIEM こうしたITインフラを監視するロギング。それ以来、脅威の可視性とイベントログ量のバランスは、セキュリティ専門家によって慎重に検討されてきました。この記事では、いくつかのベストプラクティスを紹介します。 SIEM ログ管理 – セキュリティツールの潜在能力を最大限に発揮

次世代データシート-pdf.webp

次世代 SIEM

ステラサイバー次世代 SIEMステラサイバーの重要なコンポーネントとして Open XDR プラットホーム...

Download Data Sheet
デモ画像.webp

AI を活用したセキュリティを実際に体験してください。

脅威を即座に検出して対応する Stellar Cyber​​ の最先端の AI をご覧ください。今すぐデモをスケジュールしてください。

デモを予約

Why SIEM 事態

の主な意義は SIEM ログ管理の真価は、膨大なログを効率的に分析し、セキュリティアナリストが重要な脅威に集中できるようにすることです。さらに、 SIEM システムは、異機種混在の企業環境におけるデータを標準化して分析を簡素化し、ログデータに基づいてリアルタイムおよび過去の脅威分析を提供し、潜在的なセキュリティ脅威が検出されると、重大度に応じて優先順位が付けられた自動アラートを送信し、インシデント対応やフォレンジック調査に不可欠な詳細な記録を保持します。 SIEM ログ管理は、現代の IT 環境の複雑な状況において、堅牢で応答性の高いセキュリティ体制を確立し、維持するために不可欠です。

何が SIEM ログ記録とその仕組み

リアルタイムのセキュリティを提供するために、 SIEM ソフトウェアは複数のソースからログを収集し、中央のログシステムに送信します。 「何が SIEM? ' 答えは、さまざまな方法をより深く掘り下げることです。 SIEM ツーリング

エージェントベースのログ収集

このログの集約はローカル レベルで行われます。エージェントにはログ フィルターと正規化機能が組み込まれており、リソース効率が向上します。ログ データはバッチに圧縮されるため、エージェントが使用するネットワーク帯域幅は通常少なくなります。

直接接続

エージェントレスログ記録は、ネットワークプロトコルやAPI呼び出しによって行われることが多く、 SIEM ログ記録は SIEM プログラムは、多くの場合syslog形式で、ストレージから直接ログファイルを取得します。導入の容易さからソフトウェアやバージョンのアップデートの必要性を排除することまで、さまざまなメリットがあります。このオプションは、多くの場合、コスト削減に貢献します。 SIEM 維持費。

イベントストリーミングプロトコル

エージェントベースとエージェントレスのロギング方法はそれぞれ異なるデータ収集方法を提供しますが、イベントベースアーキテクチャでは、このプロセスを川を流れるイベントの流れとして捉え直します。各イベントは下流のコンシューマーによってキャプチャされ、さらに処理されます。シスコが考案したプロトコルであるNetFlowは、このアプローチの一例です。NetFlowは、インターフェイスへの出入りごとにIPネットワークトラフィックを収集します。NetFlowデータの分析により、ネットワーク管理者はトラフィックの送信元と送信先、使用されているプロトコル、通信時間といった重要な情報を識別できるようになります。このデータはNetFlowコレクターによって収集されます。NetFlowコレクターは、トラフィックの重要な詳細をキャプチャするだけでなく、タイムスタンプ、要求されたパケット、IPトラフィックの入口と出口のインターフェイスも記録します。

ますます巧妙化する攻撃に直面する中、イベント ストリーミングは、次世代ファイアウォール (NGFW)、侵入検知および防止システム (IDS/IPS)、セキュリティ Web ゲートウェイ (SWG) などのセキュリティ デバイスにネットワーク トラフィックに関する包括的な情報を送信することで、重要な役割を果たします。

全体的に見て、 SIEM ログ記録は現代のサイバーセキュリティにおいて極めて重要な要素となり、ログデータに基づくリアルタイムおよび履歴の脅威分析を可能にします。しかし、従来のログ管理とログ記録の自動化の違いを念頭に置くことが重要です。 SIEM.

SIEM ログ管理との主な違い

丸太は SIEM 能力に関しては、プロセス間に重要な違いがあります SIEM ログ管理。ログ管理とは、様々なチャネルから収集されたログデータを体系的に収集、保存、分析することです。このプロセスは、すべてのログデータを一元的に把握できるものであり、主にコンプライアンス、システムのトラブルシューティング、運用効率化などの目的で利用されます。しかし、ログ管理システムは本質的にログデータの分析を行うものではありません。むしろ、この情報を解釈し、潜在的な脅威の妥当性を判断するのはセキュリティアナリストの役割です。

SIEM このプロセスをさらに一歩進め、イベントログとユーザー、資産、脅威、脆弱性に関するコンテキスト情報を相互参照します。これは、脅威識別のための多様なアルゴリズムとテクノロジーによって実現されます。

  • イベント相関 高度なアルゴリズムを使用してセキュリティ イベントを分析し、潜在的な脅威を示すパターンや関係を特定し、リアルタイムのアラートを生成します。

  • ユーザーとエンティティの行動分析 (UEBA) 機械学習アルゴリズムを利用して、ユーザーとネットワークに固有の通常のアクティビティのベースラインを確立します。このベースラインからの逸脱は潜在的なセキュリティ脅威としてフラグ付けされ、複雑な脅威の識別と横方向の移動の検出が可能になります。

  • セキュリティ オーケストレーションと自動化対応 (SOAR) 可能 SIEM 脅威に自動的に対応するツールにより、セキュリティ技術者がアラートを確認するのを待つ必要がなくなります。この自動化によりインシデント対応が効率化され、 SIEM.

  • ブラウザフォレンジックとネットワークデータ分析 活用する SIEM高度な脅威検出機能により、悪意のある内部関係者を特定します。ブラウザフォレンジック、ネットワークデータ、イベントログを解析し、潜在的なサイバー攻撃計画を明らかにします。

偶発的な内部者による攻撃

各コンポーネントをどのように実践できるかの例として、偶発的な内部者による攻撃が挙げられます。

これらの攻撃は、個人が攻撃中に外部の悪意ある攻撃者の攻撃を不用意に手助けすることで発生します。例えば、従業員がファイアウォールの設定を誤っていると、組織の脆弱性が増大する可能性があります。セキュリティ設定の重要性を認識し、 SIEM システムは変更が行われるたびにイベントを生成できます。このイベントはセキュリティアナリストに報告され、徹底的な調査が行われます。これにより、変更が意図的かつ正しく実行されたことが確認され、意図しない内部者の行動による潜在的な侵害から組織が保護されます。

アカウント乗っ取りの場合には、 UEBA アカウントが通常とは異なるシステムにアクセスしたり、複数のアクティブセッションを維持したり、ルートアクセスに変更を加えたりといった不審なアクティビティを検出できます。脅威アクターが権限昇格を試みた場合、 SIEM システムは、この情報をセキュリティ チームに速やかにエスカレーションし、潜在的なセキュリティの脅威に対する迅速かつ効果的な対応を促進します。

SIEM ログ記録のベストプラクティス

SIEM 組織のサイバーセキュリティ戦略において極めて重要な役割を果たしますが、これを実装するには、そのようなソフトウェアの中核となるログと相関ルールに対する巧みなアプローチが必要です。

#1. 概念実証で要件を選択する

新しいものを試すときは SIEM ツールである概念実証はテストの場を提供します。概念実証フェーズでは、ログを個人的に監督することが重要です。 SIEM 特定の要件に応じてデータを正規化するソリューションの能力を評価するためのシステム。このプロセスは、イベントビューアに非標準ディレクトリからのイベントを組み込むことで強化できます。

このPOCでは、エージェントベースのログ収集が最適かどうかを判断できます。広域ネットワーク(WAN)やファイアウォール経由でログを収集する場合、エージェントを使用したログ収集はサーバーのCPU使用率の削減に貢献する可能性があります。一方、エージェントレス収集はソフトウェアのインストール作業を軽減し、メンテナンスコストの削減につながります。

#2. 正しいログを正しい方法で収集する

その SIEM システムは、アプリケーション、デバイス、サーバー、ユーザーなど、関連するすべてのソースからデータをリアルタイムで収集、集約、分析します。データは、 SIEM 能力があれば、組織のあらゆる側面がカバーされるようにすることで、これをさらにサポートできます。

#3. エンドポイントログの保護

エンドポイントログでよくある障害の一つは、ワークステーションの電源がオフになっているときやノートパソコンがリモートで使用されているときなど、システムがネットワークから断続的に切断されているときにログが絶えず変化することです。さらに、エンドポイントログ収集の管理負担は、システムの複雑さをさらに増大させます。この課題に対処するために、Windows イベント ログ転送機能を使用すれば、エージェントや追加機能をインストールすることなく、集中管理されたシステムへログを送信できます。Windows イベント ログ転送機能は、Windows オペレーティングシステムに標準装備されているためです。

Stellar Cyber​​のエンドポイントログへのアプローチは、エンドポイント検知・対応(EDR)を含む多様なエンドポイントログをサポートします。異なるEDR製品の特定のサブセットに異なるアラート経路を適用することで、エンドポイントログ情報をより正確かつ精密にクリーンアップすることが可能になります。

#4. PowerShell に注目する

PowerShell は、Windows 7 以降のすべての Windows インスタンスで広く利用されており、攻撃者にとって有名なツールとなっています。ただし、PowerShell はデフォルトではアクティビティを一切記録しないため、明示的に有効にする必要があることに注意することが重要です。

ログオプションの一つにモジュールログがあります。これは、変数の初期化やコマンドの呼び出しなど、パイプラインの詳細な実行情報を提供します。一方、スクリプトブロックログは、スクリプトやコードブロック内で実行された場合でも、すべてのPowerShellアクティビティを包括的に監視します。正確な脅威データと動作データを生成するには、これら両方を考慮する必要があります。

#5. Sysmonを活用する

イベント ID は、疑わしいアクションすべてに詳細なコンテキストを提供するために不可欠です。Microsoft Sysmon は、プロセスの作成、ネットワーク接続、ファイル ハッシュなどの詳細なイベント情報を提供します。適切に相関付けを行うと、ウイルス対策やファイアウォールをすり抜ける可能性のあるファイルレス マルウェアを検出するのに役立ちます。

#6. 警告と対応

機械学習がもたらす分析力にもかかわらず SIEM ツールを使う場合、文脈に合わせて
全体的なセキュリティの範囲を広げます。その中心となるのはセキュリティアナリストです。インシデント対応計画は、すべての関係者に明確なガイドラインを提供し、円滑かつ効果的なチームワークを可能にします。

計画では、インシデント対応の主たる責任者として上級リーダーを任命する必要があります。この人物はインシデント対応プロセスに関わる他の人物に権限を委譲することができますが、ポリシーにはインシデント対応の主たる責任を負う特定の役職を明確に規定する必要があります。

そこから、インシデント対応チームへと話が移ります。大規模なグローバル企業の場合、複数のチームがそれぞれの地域を担当し、専任の人員を配置している場合があります。一方、小規模な組織では、単一の集中型チームを編成し、組織内の様々な部署からパートタイムでメンバーを起用する場合もあります。また、インシデント対応活動の一部またはすべてをアウトソーシングする組織もあります。

すべてのチームの協力体制を維持するには、成熟したインシデント対応の基盤となるプレイブックが不可欠です。セキュリティインシデントはそれぞれ性質が異なりますが、大多数は標準的な活動パターンに従う傾向があるため、標準化された対応は非常に有益です。そのため、インシデント対応コミュニケーション計画では、インシデント発生中に各グループがどのようにコミュニケーションをとるか、そしていつ当局が介入すべきかを概説します。

5. データ相関ルールの定義と改良

A SIEM 相関ルールはシステムへの指示として機能し、異常、潜在的なセキュリティ上の弱点、あるいはサイバー攻撃を示唆する可能性のある一連のイベントを示します。「x」と「y」のイベントの発生、あるいは「x」、「y」、「z」の同時発生など、特定の条件が満たされた場合に管理者への通知をトリガーします。一見平凡な活動を記録する膨大なログを考慮すると、適切に設計された相関ルールは、 SIEM 相関ルールは、ノイズをふるいにかけ、潜在的なサイバー攻撃を示唆する一連のイベントを正確に特定するために重要です。

SIEM 相関ルールは、他のイベント監視アルゴリズムと同様に、誤検知を引き起こす可能性があります。誤検知が多すぎると、セキュリティ管理者の時間と労力が無駄になる可能性がありますが、適切に機能するシステムでは誤検知をゼロにすることは可能です。 SIEM 現実的ではありません。そのため、設定する際には SIEM 相関ルールでは、誤検知アラートを最小限に抑えつつ、サイバー攻撃を示唆する潜在的な異常を見逃さないことのバランスを取ることが不可欠です。目標は、誤検知による不要な混乱を避けながら、脅威検出の精度を高めるためにルール設定を最適化することです。

次世代 SIEM Stellar Cyber​​によるログ管理

Stellar Cyber​​のプラットフォームは次世代の SIEM 固有の機能として、NDRを含む複数のツールを統合することで統一されたソリューションを提供します。 UEBA、サンドボックス、TIPなどを単一のプラットフォームに統合しました。この統合により、操作が統一されたアクセスしやすいダッシュボードに効率化され、資本コストを大幅に削減できます。 SIEM ログ管理は自動化されており、チームが脅威に先手を打つことができます。一方、次世代の設計は SIEM チームが最新の攻撃に効果的に対抗できるよう支援します。詳細については、デモをご予約ください。 次世代 SIEM Platform.

良すぎるように聞こえる
本当でしょうか?
ぜひご自身でご覧ください!

Demoリクエスト
上へスクロール
ニュースレターにサインアップする